4.
La sécurité et l'économie numérique
4.1 Cryptologie et certification
En matière de sécurité, et sans l'abroger formellement,
le projet LEN modifie substantiellement la partie de la
loi du 26 juillet 1996 consacrée à la cryptologie. La
disposition la plus remarquable est sans nul doute celle
qui libéralise sans réserve l'utilisation des moyens de
cryptologie. Les personnes physiques comme les entreprises
pourront donc utiliser librement selon la nouvelle définition
consacrée "tout matériel ou logiciel conçu ou modifié
pour transformer des données, qu'il s'agisse d'informations
ou de signaux, à l'aide de conventions secrètes ou pour
réaliser l'opération inverse avec ou sans convention secrète".
Est aussi libre la fourniture,
le transfert vers ou depuis un Etat membre de la communauté
européenne ou l'importation et l'exportation des moyens
de cryptologie dont la seule fonction cryptologique
est une fonction d'authentification ou de contrôle d'intégrité,
notamment à des fins de signature électronique. .
A
coté de la liberté, la loi prévoit un mécanisme de déclaration
préalable et un autre d'autorisation préalable auprès
du Premier ministre.
Relèvent du régime de déclaration
préalable la fourniture, le transfert depuis un Etat
membre de la communauté européenne ou l'importation
de moyens de cryptologie lorsqu'ils assurent d'autres
fonctions que celle d'authentification ou de contrôle
d'intégrité.
Relèvent du régime de l'autorisation
préalable le transfert vers un Etat membre de la communauté
européenne ou l'exportation de moyens de cryptologie
lorsqu'ils assurent d'autres fonctions que celle d'authentification
ou de contrôle d'intégrité.
Le Gouvernement, s'il accepte
de libéraliser l'usage de la cryptologie souhaite néanmoins
pouvoir contrôler les moyens qui permettraient d'assurer
la confidentialité des données transmises via Internet.
Dans les deux cas, les conditions
de déclaration ou d'autorisation feront l'objet d'un
décret pour leur mise en uvre, le projet de loi prévoyant
par avance que le décret pourrait être l'occasion de
dresser une liste de catégories de moyens qui pourraient
être exonérées de formalité ou contraints à une obligation
moindre.
Les entreprises dont l'activité
est celle de fournir des prestations de cryptologie
devront pour leur part, sous réserve d'en être exemptées
par décret, faire l'objet d'une déclaration préalable
auprès du Premier ministre. Sur ce point le texte ne
distingue pas entre les prestations qui assurent la
confidentialité des données de celles qui n'assureraient
que l'authentification ou le contrôle d'intégrité. Le
projet précise, s'il en était encore besoin, que ces
prestataires sont assujettis au secret professionnel.
S'agissant plus précisément
des prestataires qui assurent des prestations de cryptologie
à des fins de confidentialité, le projet précise qu'ils
sont présumés responsables, jusqu'à preuve contraire,
et malgré toute disposition contractuelle contraire,
du "préjudice causé aux personnes leur confiant la gestion
de leurs conventions secrètes en cas d'atteinte à l'intégrité,
à la confidentialité ou à la disponibilité des données
transformées à l'aide de ces conventions". Cette présomption
ne pourra être levée par ledit prestataire que s'il
est en mesure de démontrer qu'il n'a commis aucune faute
intentionnelle ou de négligence.
Le texte précise également
l'étendue de la responsabilité des prestataires de certification
électronique, que l'on retrouve essentiellement dans
la réglementation du 13 mars 2000 et ses décrets.
Ainsi ces prestataires :
- sont présumés responsables du préjudice causé aux
personnes qui se sont fiées raisonnablement aux certificats
présentés comme qualifiés qu'elles délivrent, lorsqu'il
s'avère que ces certificats ne sont pas qualifiés ;
- Doivent justifier d'une garantie financière suffisante,
spécialement affectée au paiement des sommes qu'ils
pourraient devoir aux personnes s'étant fiées raisonnablement
aux certificats qualifiés qu'elles délivrent , ou d'une
assurance garantissant les conséquences pécuniaires
de leur responsabilité professionnelle. .
Cependant lesdits prestataires
:
- peuvent lever cette présomption en apportant la preuve
qu'ils n'ont commis aucune faute intentionnelle ou de
négligence ;
- ne sont pas responsables du préjudice causé par un
usage du certificat dépassant les limites fixées à son
utilisation ou à la valeur des transactions pour lesquelles
il peut être utilisé à la condition que ces limites
aient été clairement portées à la connaissance des utilisateurs
dans le certificat.
On notera cependant que la
notion de "garantie suffisante" n'est pas explicite,
pas plus que ne l'est la notion de faute intentionnelle
ou de négligence en cette matière nouvelle et spécifique.
On notera aussi que curieusement, si pour la responsabilité
des prestataires de signature électronique les termes
de la responsabilité s'appliquent "nonobstant toute
stipulation contractuelle contraire", cette précision
textuelle n'existe pas dans l'article relatif à la responsabilité
de prestataires de certification ce qui, sauf erreur
de plume, permettrait de retenir une valeur aux réserves
contractuelles des contrats conclus avec des tiers certificateurs.
L'article 22 du projet de loi
confère au Premier ministre un pouvoir d'interdiction
de mise en circulation de moyens de cryptologie et emporte
même obligation de procéder au retrait des moyens mis
en service avant le prononcé du retrait. Curieusement
le même article est muet s'agissant des prestataires
de cryptologie ou de certification qui eux ne respecteraient
pas leurs obligations (couverture assurance, responsabilité
).
A la différence de bon nombre
de dispositions de la loi LEN, celles relatives à la
cryptologie sont assorties de sanctions pénales particulièrement
dissuasives puisqu'elles emportent des peines d'emprisonnement
possible de un ans à deux ans. Pour ce faire, l'article
24 du projet détaille en plus de cinq aliénas les compétences
et moyens d'investigation des autorités compétentes
dans la recherche d'éventuelles infractions sur la législation
applicable en matière de cryptologie.
Toujours sur un plan pénal,
le projet ajoute un dispositif fort intéressant qui
vise à relever les peines encourues au titre d'une infraction
dès lors que son auteur aura utilisé un moyen de cryptologie
pour faciliter la préparation ou la commission de celle-ci.
On notera enfin que le texte
retient une sorte de "clause de repentir" en précisant
que l'article visant à relever les peines ne s'applique
pas lorsque l'auteur ou le complice de l'infraction
remet, à leur demande, aux autorités judiciaires ou
administratives "la version en clair des messages chiffrés
ainsi que les conventions secrètes nécessaires au déchiffrement".
De même sera puni quiconque
ayant connaissance de la convention secrète de déchiffrement
d'un moyen de cryptologie susceptible d'avoir été utilisé
pour préparer, faciliter ou commettre un crime ou un
délit, aura refusé de la remettre ou de la mettre en
uvre sur réquisition judiciaire, la peine étant augmentée
si le crime ou le délit a réellement été commis.
Il est par ailleurs fait obligation
aux personnes physiques ou morales qui fournissent des
prestations de cryptologie visant à assurer une fonction
de confidentialité de remettre aux agents compétents
les conventions permettant le déchiffrement des données
transformées au moyen des prestations qu'elles ont fournies.
Le fait de ne pas déférer à cette demande étant considéré
comme une infraction. Un décret devra être adopté permettant
de définir les modalités pratiques de mise en uvre
de cette obligation et sa prise en charge financière
par l'Etat.
Enfin le projet emporte modification
et précision de la loi relative à la sécurité quotidienne
au titre de la possibilité pour les autorités judiciaire
de faire procéder dans des conditions définies dans
la LEN a la "mise au clair des données chiffrées nécessaires
à la manifestation de la vérité".
4.2. Lutte contre la cyber-criminalité
S'agissant de la lutte contre la cybercrimalité
la LEN propose deux améliorations. La première vise
le code de procédure pénale et, en forme de "toilettage"
ajoute à un certain nombre d'articles relatifs aux investigations,
les mots "données informatiques" là où jusqu'alors n'étaient
employés que des références à des éléments purement
"moléculaires" comme "document" et "objets".
Par ailleurs, la LEN renforce
doublement les dispositions de la loi Godfrain, autrement
connue comme les dispositions du code pénal en matière
d'infraction dites informatiques.
A ce titre, la LEN procède
à deux modifications :
- en renforçant les peines prévues aux articles 323-1
et 323-2 du Code pénal ;
- en créant une nouvelle incrimination à l'attention
des personnes qui détiennent, offrent, cèdent ou mettent
à disposition un équipement, un instrument, un programme
informatique ou toute donnée conçue ou spécialement
adaptée pour commettre une ou plusieurs infractions
prévues aux articles 323-1 à 323-3 du code pénal.
[eric-barbry@alain-bensoussan.com]
Sommaire
de la rubrique
|